On Thu, Jul 10, 2008 at 09:49:11AM +0200, Mohsen Souissi wrote: > Bonjour, > | Maintenant sur le trou, l'isc place la sévérité à low. Mais ce qui
> ==> Attention ! Je ne sais pas où vous avez trouvé cette info, mais > moi je m'alimente à la source et je lis "Severity High" (c'est dans le > premier URL que cous citez ci-dessus) : > http://www.isc.org/index.pl?/sw/bind/bind-security.php Ha, au temps pour moi, c'était le trou du dessous (c'est malin de mettre 29 trous de sécu sur la même page :-) > | Sur les conséquences, le trou s'applique que sur les dns resolvers. Par > | conséquent, les serveurs les plus gênants sont les serveurs dns que les > | isp donnent à leurs clients par exemple. Vu que les systèmes dans les > | coeurs de nos réseaux sont servis, en général, par des machines dédiées > | à ça en interne et ne servent pas l'exterieur, cela "protège" les > | infrastructures je pense. > ==> Attention ! Vous semblez parler des serveurs récursifs de la > protection des serveurs récursifs "non ouverts" vs "ouverts". D'après > http://www.kb.cert.org/vuls/id/800113 cette faille touche les serveurs > OUVERTS et NON OUVERTS, même si la difficulté de l'attaque n'est pas > forcément la même (un paragraphe subtile à la section "II Solution ; > "Restrict Access" explique l'intérêt à être prudent). Pour attaquer le bind par ce trou, il faut attaquer le bind non? S'il n'est pas possible d'y faire des requêtes, c'est fini, non? > | Enfin pour l'avenir, vu que le trou est dans le protocole, peut-être > | verrons-nous arriver le DNS 2.0 qui sera plus interactif et faisant > | participer activement l'utilisateur! (désolé pour le trip :-) > ==> Comme le sera sans doute l'IP collaboratif 2.0, à commencer par le > BGP collaboratif 2.0 ;-) Bah, on a le peering et les points d'échange de plus ou moins grande envergure pour ça ;-) -- Nicolas Haller - M2 Promo 2008 If builders built buildings the way programmers wrote programs, then the first woodpecker that came along would destroy civilization. -- Gerald Weinberg --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
